Original-URL des Artikels: https://www.golem.de/1005/74901.html    Veröffentlicht: 04.05.2010 11:48    Kurz-URL: https://glm.io/74901

SchülerVZ, Crawler, Fake-Accounts und die Unsicherheit

Crawling von Gruppenlisten - und mangelndes Sicherheitsbewusstsein der Schüler

Wieder sind Datensätze von SchülerVZ maschinell ausgelesen worden. Nachdem die VZ-Netzwerke auf zwei Kontaktversuche nicht reagiert haben sollen, gingen 1,6 Millionen Datensätze der meist minderjährigen Nutzer an Netzpolitik.org.

TÜV-geprüft und von der Stiftung Warentest sowie Ökotest teils gelobt - und doch konnten 1,6 Millionen Datensätze von SchülerVZ maschinell ausgelesen werden, was etwa 30 Prozent der Nutzerprofile des sozialen Netzwerks entspricht.

Die Netzpolitik.org zugespielten Daten wurden von einem Studenten der Leuphana-Universität Lüneburg ausgelesen. Mittels seines Crawlers LenaML und rund 800 für den Zweck angelegten Accounts hat Florian Strankowski Daten aus den öffentlich einzusehenden Mitgliederlisten von Gruppen ausgelesen. Deren Basisinformationen beinhalten Name, Schule, Schul-ID-Nummer und den Link zum Profilbild - das funktioniert selbst bei Profilen, die auf privat gestellt sind.

Weitere Daten wurden mit einem zweiten Crawler aus den jeweiligen Freundeslisten der Gruppenmitglieder ausgelesen. Hierbei half der Umstand, dass viele Schüler nicht alle Datenschutzeinstellungen nutzen und so auch der Rest ihrer Daten ausgelesen werden kann.

Entsprechend stehen dann laut Netzpolitik auch die restlichen Daten zur Verfügung: Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus, politische Einstellung, Lieblingsfach, -musik, -filme, -bücher, seit wann jemand bei SchülerVZ aktiv ist sowie die individuellen Selbstbeschreibungstexte.

Crawler kümmern sich nicht um AGB

Für ihr Bestreben, sich in Datenschutzbelangen von Facebook abzuheben, lobt Netzpolitik zwar die VZ-Netzwerke, zu denen neben MeinVZ und StudiVZ auch SchülerVZ gehört, kritisiert aber, dass noch mehr in die Sicherheit hätte investiert werden müssen.

Keine Sicherheit

Markus Beckedahl von Netzpolitik dazu: "Es handelt sich überwiegend um Daten von minderjährigen Schülern, die sich über ihr Handeln und die Konsequenzen oft nicht bewusst sind. Daten von minderjährigen Schülern sollten daher besonderen Schutz genießen und gegen massenhaftes maschinelles Auslesen gesichert sein."

Für Strankowski bestand die Motivation darin, "nach den zig Interviews und Statements von Seiten VZ zu zeigen, dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen." Im nachgeschobenen Netzpolitik-Interview gibt er an, dass er auch aufzeigen wollte, "dass der TÜV in diesem Fall ein Zertifikat ausgestellt hat, das zwar schön aussieht, aber im Endeffekt etwas bestätigt, was so nicht der Fall ist." Die Daten der Nutzer waren Strankowski zufolge nie sicher und seien derzeit nicht sicher vor Crawlern.

Zudem weist Netzpolitik darauf hin, dass wie im Falle der Datenlecks vom Herbst 2009 seitens der VZ-Netzwerke erneut nicht auf Kontaktversuche reagiert wurde. Der Netzpolitik-Informant habe Ende April 2010 zwei Mails an die VZ-Netzwerke geschickt, auf keine habe es eine Antwort gegeben.

Erst danach seien die Daten an Netzpolitik gegangen. Netzpolitik habe die VZ-Netzwerke kontaktiert, anschließend die zugespielten Daten wieder gelöscht und den Informanten gebeten, dies ebenfalls zu tun.

Ein Telefonbuch der Minderjährigen?

Die VZ-Netzwerke haben sich mittlerweile zu dem Vorfall geäußert, danken Netzpolitik, weisen aber deren Vorwurf zurück, dass es sich um ein Datenleck handle. Nach Kenntnisstand des Unternehmens habe der Nutzer, ein junger Wissenschaftler, hunderte von künstlichen E-Mail-Accounts verwendet, um den Kopierschutz von öffentlichen Daten zu umgehen - was dem Kopieren von Daten aus dem Telefonbuch entspräche. Private Daten seien nicht ausgelesen worden.

Dennoch soll es künftig schwerer gemacht werden, Daten maschinell auszulesen. VZ-Netzwerke-Chef Clemens Riedl dazu: "Wir sind dem Nutzer dankbar, dass er uns auf das Defizit aufmerksam gemacht hat. Entscheidend ist, dass es sich hierbei weder um ein Datenleck noch einen Angriff auf unsere Server handelt, sondern vielmehr um einen Verstoß gegen unsere AGB. Der Kopierschutz von öffentlich zugänglichen Daten wird immer ein Katz-und-Maus-Spiel bleiben, deshalb sind wir für jeden Hinweis unserer Nutzer dankbar."

Die VZ-Netzwerke sind wie Golem.de ein Teil der Verlagsgruppe Georg von Holtzbrinck.  (ck)


Verwandte Artikel:
StudiVZ ist pleite: Ausgegruschelt   
(08.09.2017, https://glm.io/129959 )
TÜV Süd zertifiziert Datensicherheit von StudiVZ & Co.   
(19.01.2010, https://glm.io/72494 )
Gab.ai: Social Network verklagt Google wegen Löschung im Play Store   
(18.09.2017, https://glm.io/130108 )
Netzwerkdurchsetzungsgesetz: Viel weniger Beschwerden als erwartet   
(03.03.2018, https://glm.io/133125 )
MIT: KI erkennt Sarkasmus aus Text   
(07.08.2017, https://glm.io/129352 )

© 1997–2019 Golem.de, https://www.golem.de/